روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ خطاهای پیکربندی زیرساخت آی‌تی بیشتر در سازمان‌های بزرگ رخ می‌دهند- حتی بالغ‌ترین و لایق‌ترین دپارتمان‌های امنیت سایبری و آی‌تی نیز در امان نیستند. این را می‌شود از اخبار هفتگی هک‌ها روی شرکت‌های اصلی و مطرح و نیز نتایج ممیزی‌های امنیتی (هرچند به ندرت این اخبار را عمومی می‌کنند) متوجه شد. رگولاتورهای آمریکا مانند cisa  و NSA نیز این معضل را اعتراف کردند. آن‌ها در مقاله جدید با توصیه‌هایی هم برای تیم‌های قرمز و هم آبی بعد از کلی ممیزی و واکنش به رخداد به این اشاره کردند که خطاهای پیکربندی روی ضعف‌های سیستمی در سازمان‌های بزرگ شامل شرکت‌هایی که امنیت اطلاعات بالغی دارند تمرکز دارند. با این حال اسناد و مدارک ظاهراً نشان می‌دهد تیم‌های امنیت شبکه می‌توانند این ضعف‌ها را خنثی کرده و یا با کمی صرف بودجه، آموزش و استخدام نیرو شدت آن را کاهش دهند. در ادامه نگاهی خواهیم داشت بر اشتباهاتی که متخصصین آن‌ها را خطرناک‌ترین می‌پندارند. با ما همراه شوید.

1.      پیکربندی پیش‌فرض اپلیکیشن

هر دستگاه یا اپی خواه پرینتر باشد یا میل یا فایل سرور و یا سیستم ویدیو کنفرانس معمولاً مکانیزم لاگین با دسترسی پیش‌فرض اطلاعات محرمانه دارد که افراد ممکن است یادشان برود غیرفعالش کنند. تنظیمات پیش‌فرض این دستگاه‌ها شاید ساده باشد (مانند ادمین 1234 یا صرفاً 1234) و در نتیجه شاید امن نباشند اما اغلب کسی آن‌ها را تغییر نمی‌دهد. نمونه ساده‌اش پرینتری که برای یک چاپ، دسترسی ممتاز شبکه و نیز کنترل پنل مبتنی بر وب با لاگین دیفالت دارد. یکی دیگر از موارد رایج، سرورهای ویندوز با نسخه های قدیمی‌تر SMB یا سایر پروتکل‌های قدیمی فعال است. تنظیمات و قالب‌های پیش‌فرض سرویس‌های گواهی اکتیو دایرکتوری نیز بسیار خطرناک هستند و به کاربران غیرمجاز اجازه می‌دهند گواهی سرور دریافت کنند، امتیازات را به سطوح مدیریتی ارتقا دهند یا با دریافت Kerberos TGT احراز هویت کنند.

توصیه‌های امنیتی:

•         پیش از شروع به راه‌اندازی هر سیستم آی‌تی یک رویه اجباری را پیاده‌سازی کنید: غیرفعال کردن اکانت‌های پیش‌فرض (مانند ادمین یا مهمان) یا دست کم تغییر پسورد آن‌ها.
•         استفاده از پسوردهای قوی با 15 یا بیش از 15 کاراکتر رندوم را اجرایی کنید.
•         تنظیمات امن را با پیروی از دستورالعمل‌های تولیدکننده برای سخت‌سازی و/یا گایدلاین‌های کلی مربوطه مانند DISA STIG روی دستگاه‌ها یا سرویس‌ها به کار ببندید.
•         پیکربندی امن ADCS را پیاده‌سازی کنید: در صورت امکان ثبت‌نام وبی را غیرفعال کرده، روی سرورهای ADCS، NTLM و نام جایگزین سوژه را (SAN) برای نقشه‌گذاری UPN غیرفعال کنید.
•         مجوزهای پیش‌فرض در قالب‌های ADCS را مرور کنید، پرچم CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT را از قالب‌ها حذف و ویژگی‌های FullControl، WriteDacl و Write را از کاربران با امتیاز پایین حذف کنید.
•         اعتبارسنجی سوپروایزر هر گواهی درخواستی را فعال کنید.

2.      مدیریت نادرست مزیت‌های کاربر و ادمین

در هر شبکه بزرگی، اغلب مزیت‌هایی اضافه خواهید یافت که به کاربران معمولی داده می‌شود (در ابتدا برای مقاصد موقتی بود اما هرگز بعد از آن لغو نشد)، همچنین مزیت‌های اضافی به اکانت‌های سرویس (اپ‌ها و سرویس‌ها) و بالاتریت مزایا به ادمین‌ها (که اغلب همیشه در حالت بالاترین امتیاز کار می‌کنند) داده می‌شود. مهاجمین عامدانه این اکانت‌ها را اکسپویت می‌کنند و اساساً در جستجوی آن‌ها هستند چون تحت اختیار درآوردن شبکه برایشان به این روش سریع‌تر و آسانتر خواهد بود.

توصیه‌های امنیتی:

•         اصل اقل مزیت را پیاده کنید.
•         پیاده‌سازی یک سیستم مدیریت هویت که شامل ورود به سیستم صدور و استفاده از مجوزها بشود. این امر تشخیص استفاده غیرمجاز از حقوق دسترسی را آسان‌تر می کند.
•         از این سیستم برای به حداقل رساندن تعداد حساب های اداری و کاهش تعداد کلی حساب‌ها (با ادغام صحیح آنها) استفاده کنید.
•         حساب های کاربری را به طور منظم بررسی کنید، حساب های غیرفعال را غیرفعال و امتیازات بیش از حد را حذف کنید.
•         حساب‌های دارای امتیاز را از انجام فعالیت‌های پیش پا افتاده مانند مرور وب و دسترسی به ایمیل محدود کنید.
•         امتیازات بالا را فقط برای مدت وظایف مورد نیاز - حتی به مدیران اعطا کنید.
•         در صورت امکان، سرویس ها و دیمون ها را با امتیازات و حقوق دسترسی محدود اجرا کنید.

3.      نظارت ناکافی روی شبکه داخلی

بسیاری از سازمان‌ها فقط ترافیکی که از میزبان‌های خارجی و سرورهای انتخابی می‌آید نظارت می‌کنند و این درحالیست که نظارت شبکه داخلی فقط به رخدادهای اندپوینت محدود می‌شود. این شناسایی حملات و بررسی رخدادها به صورت منظم را سخت می‌کند.

توصیه‌های امنیتی:

•         فعالیت عادی روزانه برنامه‌ها و سرویس‌ها را تجزیه و تحلیل کنید تا بتوانید ناهنجاری‌ها را در دسترسی و استفاده شناسایی کنید. به عنوان مثال، مدیران باید به طور منظم لیست‌های دسترسی و مجوز سرویس‌های کلیدی را بررسی و حساب های مشکوک یا قدیمی را حذف کنند.
•         ترافیک شبکه روزانه سازمان را تجزیه و تحلیل نموده تا بتوانید ناهنجاری های درون آن را شناسایی کنید.
•         پیاده سازی یک سیستم SIEM برای جمع‌آوری و تجزیه و تحلیل تله‌متری از منابع مختلف، از جمله سیستم‌های EDR و IDS، گزارش های شبکه و غیره.

4.      نبود جداسازی شبکه‌ای

شبکه‌هایی با اهداف و سطوح اهمیت متفاوت اغلب از یکدیگر جدا نیستند. مسائل رایج شامل اتصال کامل شبکه‌های حاوی اطلاعات طبقه‌بندی شده و نشده و همچنین شبکه‌های IT و OT می باشد. در بیشتر موارد، یا بخش‌بندی کاملاً وجود ندارد، یا پیاده‌سازی شده اما برخی از مهندسین تصمیم می‌گیرند یل خود تونل‌هایی بین شبکه‌ها ایجاد کند (یا حتی شبکه‌های ایزوله را به اینترنت متصل می‌کنند). در نتیجه، رؤسای بخش امنیت اطلاعات و فناوری اطلاعات فکر می‌کنند که شبکه‌ها تقسیم‌بندی شده‌اند در حالیکه در واقع اینطور نیست.

توصیه‌های امنیتی:

•         تقسیم‌بندی شبکه را اجرا کنید (اگر تا الان این کار را انجام نداده‌اید). این می‌تواند شامل تقسیم‌بندی فیزیکی و منطقی VLAN)) باشد. برای جلوگیری از اتصال دستگاه‌های غیرمجاز به شبکه‌های اداری، صنعتی و محرمانه، اطمینان از اینکه دستگاه‌های شبکه زیرساخت دارای فهرست‌های کنترل دسترسی ACL)) به‌روز و بدرستی پیکربندی شده‌اند، مهم است. ما همچنین استفاده از مناطق غیرنظامی  DMZ)  ) را برای کاهش دسترسی به سیستم‌های IT داخلی از اینترنت توصیه می‌کنیم.
•         فایروال‌های نسل بعدی NGFW)  ) را با قابلیت بازرسی وضعیت و بازرسی بسته‌های عمیق با در نظر گرفتن برنامه اصلی پیاده‌سازی کنید. فایروال باید ترافیک متفاوت از ترافیک استاندارد مجاز در شبکه را رد کند. فیلتر ترافیک مبتنی بر برنامه تنها بر اساس پورت‌های شبکه نیست و به طور قابل توجهی فرصت‌های مهاجمین را برای اکسپلویت پروتکل های شبکه می‌سوزاند.

5.      فرهنگ ضعیف مدیریت پچ

مشکل سیستماتیک، بکارگیری کند و ناکافی پچ‌ها و آپدیت‌ها روی سیستم‌های نرم‌افزاری و سخت‌افزاری است. این وضعیت با توجه به این حقیقت که بسیاری از سازمان‌ها به دلایل مختلف به استفاده از سیستم‌های رده خارج ادامه می دهند بدتر هم می‌شود (منظورمان ویندوز اکس پی، SAP R/3 و غیره است)؛ سیستم‌هایی که مدت‌هاست هیچ آپدیتی دریافت نکردند.

توصیه‌های امنیتی:

•         پروسه مدیریت پچ را نظام‌مند کنید، اصلاح آسیب‌پذیری‌های معروف قابل‌اکسپلویت و آسیب‌پذیری‌های حیاتی را اولویت‌بندی کنید.
•         به‌روزرسانی‌ها را تا حد امکان با استفاده از سیستم‌های به‌روزرسانی خودکار فروشندگان نرم‌افزار، یا - حتی بهتر - با داشتن یک سیستم مدیریت پچ متمرکز، به‌طور خودکار انجام دهید.
•         نه تنها نرم افزار، بلکه سفت افزار سخت افزاری و BIOS/UEFI کامپیوتر را نیز به روز کنید.
•         سیستم‌های قدیمی مورد استفاده در کسب و کار را تجزیه و تحلیل و در صورت امکان برای بازنشستگی آنها برنامه بچینید. اگر این امکان پذیر نیست، اقدامات جبرانی مانند جداسازی شبکه برای سیستم های قدیمی را اجرا کنید.

6.      امکان دور زدن کنترل دسترسی

تنظیم‌های محیطی و اپی اغلب به حملاتی چون حمله pass-the-hash و kerberoasting مجوز ورود می‌دهند. در این حملات، مهاجمین بدون دانستن پسورد به منابع هدف دسترسی خواهند داشت.

توصیه‌های امنیتی:

•         استفاده از اطلاعات لاگین یکسان را در سیستم‌های مختلف به حداقل برسانید تا از نفوذ مهاجمان در شبکه جلوگیری کنید. تلاش‌های غیر استاندارد و ناموفق برای ورود را نظارت کنید.
•         مدیریت پچ را اجرا کنید (با نگاه بر مورد 5).
•         اقداماتی را در برابر حملات PtH اعمال کنید: به‌روزرسانی‌های KB2871997 را اعمال کنید، پس از ورود به شبکه، محدودیت‌های UAC را روی حساب‌های محلی اعمال و کاربران دامنه را از پیوستن به گروه ادمین‌های لوکال در کامپیوترها منع کنید.
•         ارتباط مستقیم بین کامپیوترهای معمولی را محدود کنید. آنها باید از طریق سرورها تعامل داشته باشند.

•         فقط در سیستم‌هایی که به این امتیازات نیاز دارند از حساب‌های دارای امتیاز استفاده کنید. استفاده از کامپیوترهای اختصاصی را برای دسترسی مدیر ممتاز در نظر بگیرید.

7.      متودهای احراز هویت چندگانه ضعیف یا با تنظیم نادرست

اشتباه رایج، پیکربندی دسترسی است که در آن احراز هویت فقط توسط یک کارت هوشمند انجام می‌شود، اما هش برای رمزهای عبور طولانی مدت استفاده نشده هنوز معتبر تلقی می‌شود. اگر خط‌مشی‌های انقضای هش پیکربندی نشده باشند، مهاجمین می‌توانند از حساب‌های قدیمی با استفاده از تکنیک‌های ذکر شده در 6 استفاده کنند. یکی دیگر از مسائل رایج، روش‌های MFA است که در برابر فیشینگ آسیب‌پذیر هستند (مانند کدهای اس‌ام‌اس). مهاجمین می توانند کدها را از طرق مختلف به دست آورند - از مهندسی اجتماعی تا حملات شبکه مخابراتی SS7 یا جعل غیرفانونی سیم کارت.

توصیه‌های امنیتی:

•         روش های احراز هویت قدیمی مانند NTLM را غیرفعال کنید.
•         از خط‌مشی‌های گروهی یا تنظیمات Windows Hello for Business استفاده کنید تا مرتباً هش‌ها را برای حساب‌هایی که از طریق کارت‌های هوشمند به آن‌ها دسترسی دارند، تصادفی کنید.
•         انتقال به استانداردهای احراز هویت باز بر اساس زیرساخت‌های کلود را در نظر بگیرید.
•         به سیستم های MFA که در برابر فیشینگ مقاوم هستند تغییر دهید.

8.      محدودیت ناکافی دسترسی به فولدرها و سرویس‌های شبکه

در شبکه‌های سازمانی، پیدا کردن فولدرهای شبکه که بدون احراز هویت قابل‌دسترسی هستند یا ذخایر ادمین که کاربران معمولی هم بدان دسترسی دارند مرسوم است. اینها اغلب حاوی فایل‌هایی با پسوردهای ادمین یا سایر اطلاعات حساس در متن ساده هستند.

توصیه‌های امنیتی:

•         تمام مخازن و سرویس‌ها باید فقط به کاربران تایید شده و مجاز اجازه دسترسی بدهند.
•         منابع حیاتی باید بر اساس اصل حداقل امتیاز پیکربندی شوند.
•         فایل‌ها و پوشه‌ها باید تنظیمات سخت‌گیرانه‌ای داشته باشند که دستکاری‌های غیرمجاز را محدود می‌کند - به‌ویژه فولدرهای که حاوی اطلاعات محرمانه مانند کلیدها هستند.
•         اطمینان حاصل کنید که مهاجمین نمی‌توانند لیست‌های کنترل دسترسیACL)  ) را به میل خود تغییر دهند، که اساساً تمام اقدامات فوق را لغو می‌کند.
•         در خط‌مشی‌های گروه ویندوز، «شمارش ناشناس حساب‌های SAM و اشتراک‌گذاری» را غیرفعال کنید.

9.      پسوردهایی با کیفیت پایین و خط‌مشی‌های پسورد

بسیاری از سازمان‌ها به کاربران اجازه می دهند تا پسوردهای ساده و کوتاه داشته باشند. در نتیجه تا 80 درصد پسوردهای کارمندان را می‌شود با استفاده از ابزارهایی مانند Hashcat کرک کرد.

توصیه‌های امنیتی:

•         معیارهای پیچیدگی توصیه‌شده را برای همه رمزهای عبور تنظیم کنید.
•         ارزیابی کنید که آیا کاربران می‌توانند از مدیریت رمز عبور استفاده کنند و اگر بله، از کدام.
•         استفاده از رمزهای عبور ادمین لوکال یکسان را در کامپیوترهای مختلف ممنوع کنید.
•         معیارهای پیچیدگی بالا را برای گذرواژه‌های اداری و عبارت‌های عبور روی گواهی‌ها/کلیدهای خصوصی پیاده‌سازی کنید.
•          فرآیند و سیستم خودکار را برای جستجوی رمزهای عبور ذخیره شده در متن ساده یا قالبی به راحتی قابل استخراج (گذرواژه‌های ذخیره شده در مرورگرها) پیاده‌سازی کنید.

1. نبود محدودیت‌ها روی اجرای کد

کم سازمانی هست که مود « فهرست اپ‌های مجاز» -جایی که فقط اپ‌های تأییدشده را می‌شود روی کامپیوترهای شرکت اجرا کرد- را فعال کرده باشد. اجازه اجرای فایل‌های غیرقابل اعتماد به مهاجمین اختیار می‌دهد تا بدافزارهای مختلف را به کار بسته، با استفاده از درایورهای آسیب‌پذیر و غیره مزیت خود را بالا ببرند.

توصیه‌های امنیتی:

•         تنظیماتی را فعال کنید که از اجرای برنامه‌هایی که از سوی منابع نامعتبر هستند جلوگیری می‌کند.
•         با این حال بهتر است از لیست مجاز (که به عنوان رد پیش‌فرض نیز شناخته می‌شود) استفاده کنید که اجازه اجرای برنامه‌ها را فقط از لیست ثابتی از موارد تأیید شده می‌دهد. اطمینان حاصل کنید که ابزار اجرای این خط‌مشی به جای تمرکز بر نام ها، امضاهای دیجیتال و سایر ویژگی های فایل کلیدی را بررسی می‌کند.
•         جلوی اجرا شدن اپ‌های آسیب‌پذیر شناخته شده (مخصوصاً درایورها) را بگیرید.
•         محدود کردن توانایی اجرای زبان‌های برنامه‌نویسی (مانند PowerShell)، بررسی گزارش‌ها برای اجرای اسکریپت‌های تایید شده، و عدم اجرای زبان‌های برنامه‌نویسی که در سیستم‌های IT شرکت استفاده نمی‌شوند.
•         به طور منظم سیستم‌های امنیتی میزبان و محیطی را بررسی کنید تا مطمئن شوید که هرزنامه‌ها را به طور موثر فیلتر می‌کنند و از اجرای بدافزار جلوگیری می‌کنند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.